mardi 8 mars 2011

La cyber-attaque contre Bercy: quelques précisions utiles

OK, sur cette cyber-attaque contre Bercy, le contenu de Paris Match, issu d'une fuite qui a un peu énervé tout le monde, est globalement dans les clous, ce qui relève du plus grand des hasards compte tenu de l'expertise supposée du journal sur le sujet.
Mais on entend et lit tellement de bêtises dans les commentaires, notamment politiques, que j'ai décidé de faire ma petite enquête auprès des professionnels de la profession, comme dirait Godard.
Voici donc quelques précisions que j'ai pu valider:
- l'affaire éclate début janvier par la découverte d'un courriel usurpé; c'est par hasard que le récepteur entre en contact avec l'émetteur et ils se rendent compte que ce dernier n'a rien envoyé.
- la technique principale utilisée consiste à intercepter un courriel réel avec un type pièce jointe habituel dans les échanges diplomatiques, à trafiquer cette pièce jointe pour en faire le point d'entrée de l'intrusion dans le système et tout simplement à renvoyer le courriel; le destinataire se dit "Tiens, Machin s'est trompé, il me l'a envoyé deux fois..." , il clique par réflexe sur la pièce jointe et le ver entre dans le fruit;
- il y a effectivement une grande sophistication de l'attaque: les hackers effacent leurs traces quand ils quittent une machine et il savent s'installer durablement en prenant le contrôle de la gestion des domaines;
- la contre-attaque a été menée pendant plusieurs semaines discrètement puisqu'elle s'est faite pendant que les pirates étaient encore présents dans le système;
- la riposte finale s'est déroulée en 48h sur le week-end, avec une centaine de spécialistes aux manettes, provenant des équipes de Bercy et de l'ANSSI (Agence nationale de la sécurité des systèmes d'information, qui dépend du Premier ministre); ils ont isolé totalement le système d'information du ministère, l'ont stoppé et ont repris progressivement le contrôle des droits d'administrateur (qui avaient été sans doute délivrés de manière un peu trop lâche) , des serveurs et de l'ensemble des dispositifs de sécurité et d'administration: des sondes ont été installées et on a redémarré le SI, ce qui s'est bien passé.... La grande angoisse du ministère étant effectivement que son SI ne redémarre pas! Bercy, c'est au bas mot 150 très grosses applications critiques qui vont du courrier du cabinet à la gestion de la dette.
L'attaque a bien concerné des informations autour du G20 mais les spécialistes que j'ai consultés  relativisent la portée de ce genre d'attaque. Ils soulignent que les vols d'informations diplomatiques sont bien moins fréquents et ont une portée moindre que les vols d'informations industrielles, techniques et scientifiques.
D'ailleurs  l'ANSSI intervient de plus en plus souvent  auprès de tous ceux qui sont censés détenir une partie du patrimoine industriel, scientifique et technique de la France. C'est la nouvelle définition du patrimoine national à protéger.
Pour finir, je suppose que la façon dont la contre-attaque a été menée indique que Bercy et l'ANSSI ont repéré leurs agresseurs et qu'ils leur ont envoyé un message implicite du genre "N'y revenez pas!"
Mais ceci, contrairement à tout ce qui précède, n'est qu'une supposition de ma part!

Aucun commentaire:

Enregistrer un commentaire